Или SSH тунели чрез «VPN бедни"
"Ако ние виждаме светлина в края на тунела, е с оглед на приближаващия влак" (Robert Lowell)
Така че, защо SSH тунели вместо VPN? В действителност, аз използвам като у дома си, а след това и още. Ако сте чели статията ми jaysonbroughton.com, знаете, че аз използвам OpenVPN с удостоверяване на три стъпки (вход, сертификат и парола еднократно). Но ако искам да се провери един от моите сървъри от дома с помощта на Android-устройство или компютър, на който аз нямам администраторски права (са необходими за моя OpenVPN клиент тези права), или да се свържете с помощта на VNC за лаптоп на жена ми, за да реши проблема си в този случай, аз се замени използването на VPN на SSH.
Аз ще дам тук само самите основи: да обясни как да се създаде тунели, ще обясни на синтаксиса, дайте примери за обратната тунела и причините за всяка от тях. Накратко докосне ssh_config файл; по-подробно това ще се счита за в бъдеще.
Така че, това, което ние ще работим? Аз използвам Debian във виртуална среда, така че вашата реалност може да бъде различен от моя. В този случай, аз използвах OpenSSH_5.3p1 като сървър и различни клиенти OpenSSH-5 версия. Преди да се ровя в тунелите, бих искал да кажа следното: ако искате да използвате SSH тунели за шифроване на HTTP или обратно SSH тунели да заобиколят корпоративната защитна стена, се уверете, че не нарушавате правилата на вашата компания. Излишно е да казвам, че вашите системни администратори да започнат да те преследват, след като се намерят такива лудории; Самият системен администратор, получавам несметен удоволствие, наваксване на тези лица. Най-малко, да ги предупредя, че не са изненадани. LinuxJournal.com и не поема никаква отговорност за нарушаването на собствения си корпоративна политика 🙂 Е, сега се залавяме за работа.
просто се създаде SSH-тунел. Но реши какво да прави с него, може да е малко по-трудно. Ето защо, аз ще дам няколко примера, преди да сме vdadimsya подробности. Веднъж пътувах малко - беше на предишната работа и преди да имам деца. Пътуванията, които някога съм се настаняват в най-странните хотели (мисля, че сте запознати с тях), оборудвана с още по-странни безжични точки за достъп. Искате ли един хотел да се свърже с точка за достъп, в която SSID е написана с правописни грешки? Или на летището, където ще намерите няколко отворени въпроси? Ако аз не съм у дома, аз съм Прибирам HTTP трафик през тунела между вашето устройство на Android (с корен достъп) и началната сървъра. Ако работя на лаптоп, когато отворите SSH тунел и HTTP трафик идва чрез SOCKS5, така че всичко е криптирана чрез SSH. Не се доверявам на отворените въпроси, достъп до толкова, колкото мога. Какво друго да добавите? Аз трябваше да "обвива" тунелите на SMTP трафик, когато се прибрах в такова място, където блок изходящ SMTP-пакети. Същото нещо, което трябваше да направя, и POP3, с когото наскоро премина на съобрази с IMAPS. Други примери на SSH тунели включват пренасочващи приложения Х11 и VNC сесии. По-рано се спомена обратната тунелите. Те са ... ами, вие разбирате - тунели, насочени в обратна посока. В този случай, когато се свържете от всяко място, където няма SSH сървъра към външен SSH-сървъра. След това, като влезете върху сървър, включително и на местно ниво, можете да възстановите връзката. Каква е ползата, което казвате? Ами, например, VPN сървър на компанията "падна", или да работят само с VPN клиент за Windows, но в никакъв случай не искам да се влачат дома с лаптоп, за да се провери дали даден процес се изпълнява. Пристигане у дома, можете да се създаде обратен тунел. В този случай, трябва да се свържете с "X" сървър на домашния ви компютър. Пристигайки вкъщи, да възстановите връзката към сървъра "Х", като по този начин се заобикаля защитната стена или VPN, и да се провери операция процес без необходимост от връзка VPN. Аз правя това е много рядко, тъй като, по мое мнение, връзката със сървъра, заобикаляйки защитната стена или VPN - е "лошо кунг-фу" и може да се използва само в краен случай.
Така че имаш няколко примера за SSH тунел, а сега нека видим как всичко това е направено.
Преди да се рови в работата на клиента, малко редактиране sshd_config файл на сървъра. В / и т.н. / SSH / sshd_config Аз обикновено правя някои промени. Но не забравяйте, преди да започнете да го редактирате, за да направите резервно копие в случай, че нещо се проваля.
Не забравяйте, че ако сте направили промени в sshd_config, ще се наложи да рестартирате услугата SSHD тези промени да влязат в сила.
И сега за ключовете. Не, не и ключовете, които сте избрали Татко, когато се счупи колата на майка ми, както и ключовете за SSH командния ред.
Типично SSH тунел без пренасочване X изглежда така:
Тук, клавишите са както следва:
Искаш ли примери?
Пренасочване на POP3 и SMTP през SSH:
Пренасочване на Google Talk чрез SSH (-g превключвател позволява на отдалечени машини, за да се свържете с probroshennym местните пристанища):
Почти всичко, което се изпраща в обикновен текст, можете да защитите с помощта на SSH-Tunnel
От криптиране HTTP трафик
Друго нещо, което е ясно, че още отсега. Но ако фирмата ви има някакви политики по отношение на ИТ, проверете дали не сте го счупи. Аз стрелям HTTP трафик през SSH в случаите, когато не се доверяват на точката за достъп. За Android използвам SSHTunnel приложение и на лаптоп - тази команда:
Пренасочване на X и VNC сесии
Спомняте ли си, че сте добавили «X11Forwarding да» в sshd_config? Това е, което ви позволява да препращате сесии X.
Когато предават заседанията VNC, бъдете внимателни. Ако клиентът, с MDM свържете тунела, бягане VNC сървър, например, на порт 5900, уверете се, че не укажете порта като пренасочения или се свързвате към себе си. Като цяло, VNC препращате същия начин, както всяка друга услуга:
В този пример, вие се свързват чрез SSH към външен порт 2022 сървъра mylinuxserver.com на името на Боб потребител. Той се препраща местния порт 5900 до пристанището 5900 на сървъра. След като връзката е установена, можете да отворите VNC-клиент и да го изпрати на Localhost: 0 за да се свържете към отдалечен машина. Ако препращате пристанището 5901, уточни «Localhost: 1" и така нататък.
Обратните SSH тунели
Е, това е, че е време за любимите ми сортове SSH-тунел. Разбира се, достъп до услуга чрез SSH - това е страхотно "диск" Уеб трафикът е криптирана чрез SSH тунели - също, но най-приятната изненада може да се изследва чрез обратна тунел. Както казах по-рано, те трябва да се използват в ситуация, в която има една кола без SSH сървър, и смятате, че трябва да го получи в бъдеще (за няколко минути, часове или дни), но тя не иска или не може да се използва VPN , Трябва да се свържете с SSH-сървъра с тази машина, и след това да инсталирате обратно SSH тунел свързване към тази връзка. Защо да кандидатствам? От време на време - за да работите с отдалечения сървър, или просто да помогне на приятелите и семейството си чрез VNC през SSH. В последния случай, те пусне Замазки с запаметените настройки на сесията и се свърже с моя SSH сървър от името на потребителя, без да има каквито и да било права. След създаването на тунела мога да отида на VNC на тяхната машина. И все пак, те не трябва да конфигурирате защитната стена, или да се справят с LogMeIn или други подобни сайтове.
Така че, за да се създаде обратен SSH тунел трябва да извършите следните елементи действия:
- На клиентската машина:
- От страна на сървъра:
И ти обърне тунел! Voila!
заключение
Е, сега имаш основни познания в областта на SSH-тунел. Да не забравяме, че това е само основите, но в действителност в обхвата на тунелите е ограничен само от вашето въображение. По-късно ще опише ssh_config файл от настройките на клиента страна да спаси индивидуални връзки настройки. Но това - следващия път.
Свързани статии